Jak routrovat vše přez VPN server který je na MikroTiku

sentello

Potřeboval bych pomoci s nastavením VPN na Mikrotiku který mám doma, jedná se konkrétně o PPTP a OpenVPN.

Takže jsem si nastavil PPTP a OVPN servery v Mikrotiku, připojím se v pohodě, dostanu se k sítí doma, mohu například otevřít domácí NAS atd... ale rád bych všechen traffic tahal přes to VPN.

Př.ž se připojím z práce k Mikrotiku pomocí tunelu a otevřu si napr. mojeip.cz tak tam vidím IP adresu kterou máme v práci. To je špatně - chci používat svůj mikrotik jako bránu pro všechen traffic. Stejně tak jako fungují placené VPN servery.

Už trápím dva dny a prostě nevím co mám nastavit.

winbox nastavení:

http://www.imagehosting.cz/images/atft.png

Nastavení klienta (windows openvpn)

proto tcp-client

remote 121.31.11.17 1194 # Remote OpenVPN Servername or IP address

dev tap

nobind

persist-key

tls-client

ca ca.crt # Root certificate in the same directory as this configuration file.

auth-user-pass auth.cfg #auth.cfg containing my user and password openvpn

ping 10

verb 3

cipher AES-256-CBC

auth SHA1

pull

auth-nocache

resolv-retry infinite

route-up "route add 192.168.1.0 mask 255.255.255.0 121.31.11.17"

Nevím co přesně bych měl nastavit, statická routa je nastavená- vše co se doma chce připojit k síti používá 192.168.1.1 jako GW

Poradí někdo?

hafieror

Linuxová konfigurace na straně serveru zná parametr

push "redirect-gateway"

ale tady nic co by tomu odpovídalo nevidím.

sentello

Z dokumentace OpenVPN jsem se něco takového taky dočetl. Ale tohle nastavit v Mikrotiku nelze...

aliney

Pokud to chapu dobre, tak presne na to jsem taky neprisel. :)

Teoreticky by to melo nejak jit, ale zadny ze zkousenych postupu mi nepomohl. V tomto pripade by Te mohl zajimat Split Tunneling.

Takze jsem si rozjel VPN klienta na Mikrotiku (ktery je ve vnitrni siti jako kazdy jiny pc DHCP-Client) proti Mikrotik serveru. Pocitacum prirazuji adresy vnitrni site tak jako normalne dostanou od DHCP, ale gateway prepisu na ten Mikrotik klient, kde pak preroutingem vsechno co neni 10.0.0.0/8 (firemni traffic) jde do VPN tunelu jinak na klasickou firemni GW.

Preci jen, nez presvedcovat win at dela co chces, to naklikam za par minut do MK vselijake pravidla a muzes s tim kouzlit co chces.

Vysledek je takovy, ze v podstate kdokoliv si na svem PC zmeni jen GW na mikrotik, ktery je viditelny v cele firme a muze frcet po VPN. (pokud mu to muj FW povoli ovsem :-) )

sentello

A v práci máš OVPN? nebo se jedná o jiné VPN?

aliney

ovpn

sentello

Mohl bys poslat z konzole nastavení nebo z winboxu? Nějak nevím jak to udělat, u mě MK je jak DHCP server tak GW -> takže by stačilo nějak naroubovat to co jsi vymyslel i u nás doma a možná to bude fungovat.

aliney

myslis konkretne nastaveni ceho?

sentello

rád bych viděl pravidla ve FW

aliney

Zajimat by Te mohlo asi tohle:

prvni GW je VPN server, druha je normalni firemni a pak jen delim preroutingem co ma kam jit...

/ip route

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=172.20.0.1 routing-mark=tunnel scope=30 target-scope=10

add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.10.10.1 scope=30 target-scope=10

/ip firewall mangle

add action=mark-connection chain=prerouting disabled=no dst-address=10.0.0.0/8 new-connection-mark=local-traffic passthrough=yes src-address=10.0.0.0/8

add action=mark-routing chain=prerouting disabled=no dst-address=10.0.0.0/8 new-routing-mark=main passthrough=no src-address=10.0.0.0/8

add action=mark-routing chain=prerouting comment="OVPN address list" disabled=no dst-address-list=OVPN new-routing-mark=tunnel passthrough=no

add action=mark-routing chain=prerouting comment="PORT FORWARD" disabled=yes dst-port=8904 new-routing-mark=tunnel passthrough=no protocol=tcp

V address-listu 'OVPN address list' mam cilove adresy, ktere chci aby sly tunelem, jinak nechavam provoz bezet po firemni siti, jen to, co potrebuji jde tunelem, tedy 192.168.0.0/16 a pak nejake verejne, sem tam nejaky ten port bez ohledu na IP (treba 8291, protoze z nejakeho duvodu neni na firemni siti povoleny :-) )...

pokud chci docasne uplne vsechno poslat do tunelu, tak si aktivuji pravidlo

add action=mark-routing chain=prerouting comment="ALL to vpn" disabled=yes new-routing-mark=tunnel passthrough=no src-address=10.10.10.130

sentello

Děkuji, ale tohle mě nemůže fungovat protože mám jen jeden Mikrotik a ten je jak GW do internetu tak OVPVPN server

aliney

njn, tak to si holt bude treba nejdriv vytvorit tu druhou GW nekde ;-)

sentello

Mohl bych jako druhou GW použít ADSL modem?

Trnec

Mohl bych jako druhou GW použít ADSL modem?

urcite to pouzit lze, co to mas doma za RB (=dost podstatna informace)?

nekde jsem cetl, ze nelze pouzit 1 GW in/out, pres tu druhou by to jit melo...

sentello

mám RB433AH, a to že OVPN neumí dělat GW jsem taky někde četl ale teď nemohu najít odkaz

sentello

našel jsem ho: http://forum.mikrotik.com/viewtopic.php?f=2&t=46110